​研究員發現能完全得到 Android 手機控制權的嚴重漏洞

Eric Chan
Eric Chan
2015年08月7日, 下午 03:00
0分享次數
FacebookTwitter


Check Point 的研究員在 Black Hat conference 上展示了一系列出現在智慧型裝置、汽車滑板的 Android 保安性漏洞。其中名為 Certifi-gate 的漏洞更是在所有 OEM 廠商的裝置中都有出現,它讓第三方程式插件通過 Remote Support 得到存取權限,控制裝置的螢幕和使用 OEM 發出的授權證書。這漏洞可讓惡意駭客可以看到使用者的操作,甚至直接控制智慧型裝置。根據研究員的說法,作為使用者是無法讓授權證書失效。Check Point 提及到 LG、Samsung、HTC 和 ZTE 都有對這 Certifi-gate 漏洞作出修復,減輕影響,而 Google 旗下的 Nexus 裝置則未受波及。

Check Point 的負責發堀行動裝置危險的技術領導人物 Avi Bashan 跟主站透露,此漏洞是源自 Android 的安全結構問題,以及 OEM 們所開發的遙距控制工具讓這漏洞被揭露。Bashan 更提到因為 Android 裝置的更新週期相距太長,這些嚴重的漏洞未必能在短期內被完全修補,所以更是危險。

Samsung 對於 Certifi-gate 漏洞發出了以下的聲明:「三星明白到他們的成功來自消費者的信任,以及所提供產品和服務。我們會密切留意 Check Point 的發現,公司也會認清問題的所在。三星建議使用者不要使用不安全的應用程式。」

Google 發言人對我們表示說,他們感謝研究員發現並報知漏洞的存在,指這漏洞是來自 OEM 們客製化 Android 裝置時所出現的,也認為他們將會提供解決問題的更新。一如三星的聲明,Google 也建議 Android 使用者要從可信的來源取得應用程式(例如 Google Play),因為裝置會被漏洞影響是因為使用者安裝了有問題的應用程式。對此。Google 亦會繼續以 VerifyApps 和 Safety Net 檢查監控的。

對此,Bashan 倒是認為這類有問題的應用程式也可以偽裝為完全無害,並上架至 Google Play,在打開時就會把有關的插件啟動。所以他還是建議由 OEM 儘快提供系統更新,並且不要自行安裝 APK 至手機上。

有興趣深入了解的朋友,Check Point 對於 Cerifi-gate 發表了完整的報告,並有提供免費的應用程式,可以考慮體檢一下自己的裝置。
標籤: android, blackhat, checkpoint, google, htc, lg, security, sony
0分享次數
FacebookTwitter